Die vorherrschende Meinung von Cybersicherheitsexperten ist, dass der Versuch, mit Ransomware-Hackern zu verhandeln, eine schlechte Idee ist, aber am 30. Dezember 2020 hat ein Opfer gegen die Regeln verstoßen und es versucht.
“Helfen?” Sie tippten in einen der kompromittierten Computer.
„Hallo“, antwortete einer der Hacker. „Sind Sie bereit zu verhandeln? Ihr Netzwerk und alle Ihre Daten wurden verschlüsselt [the] CONTI-Team. Neben dem Verschlüsselungsprozess haben wir ein großes Paket Ihrer internen Dokumente und Dateien heruntergeladen, das veröffentlicht wird, falls unsere Verhandlungen scheitern. Der Wiederherstellungspreis beträgt 8.500.000 US-Dollar.“
Das Feilschen beginnt.
„Es ist der Preis, der uns Sodbrennen bereitet…“, tippt das Opfer. Dann, nach einigem Hin und Her, passiert etwas Interessantes: Die Hacker haben den falschen Eindruck, dass ihre Opfer keinen Entschlüsselungsschlüssel benötigen und nur wollen, dass die Dateien zerstört werden. Infolgedessen bieten die Hacker an, ihre Forderung auf 2.125.000 US-Dollar zu reduzieren; eine Reduzierung um 70 % gegenüber dem ursprünglichen Lösegeld.
In einem Geistesblitz korrigiert das Opfer das Missverständnis nicht und macht mit: „Wir sind noch weit voneinander entfernt, aber wir sehen das als einen positiven Schritt.“ Danke schön.”
Nach einer Pause kommt das Opfer mit einem Gegenangebot zurück: mickrige 400.000 Dollar. Die Hacker drängen auf 600.000 US-Dollar, und schließlich kommt ein Deal über 450.000 US-Dollar zustande … aber das ist nicht der Fall. Kurz bevor der Deal zustande kommt, wird das Missverständnis über den Entschlüsselungsschlüssel offensichtlich.
Zum Glück war es schon zu spät. Zu diesem Zeitpunkt wussten die Hacker nicht mehr, mit wie wenig sie sich zufrieden geben wollten. Nachdem sie sich auf eine beschleunigte Zahlung geeinigt hatten, nahmen die Hacker das Angebot an – eine erstaunliche Reduzierung um 94,7 % gegenüber ihrer ursprünglichen Forderung.
Aus den Fehlern anderer lernen
Meistens erblicken Geschichten wie diese nicht das Licht der Welt. Die Details von Ransomware-Vorfällen werden in der Regel geheim gehalten und absichtlich vor der Öffentlichkeit verborgen gehalten.
Aber französischer Cybersicherheitsjournalist Valéry Marchive mag diese ganze Geheimhaltung nicht. Er glaubt, dass all diese verdeckten Gespräche mit Ransomware-Banden wertvolle Einblicke in die Arbeitsweise von Cyberkriminellen enthalten und als Waffe zur Gegenwehr eingesetzt werden können.
Zu diesem Zweck hat Marchive in den letzten Jahren ein umfangreiches Archiv von Ransomware-Verhandlungschats zusammengestellt und das Archiv kürzlich der Öffentlichkeit zugänglich gemacht. Dieser Datenschatz erweist sich bereits als nützlich im Kampf gegen Ransomware. Zum Beispiel der Cyber Threat Intelligence Analyst Calvin So’s aktueller Forschungsbericht on the data nutzt stilometrische Analysen (im Wesentlichen die Wissenschaft der Schreibstile), um dabei zu helfen, Personen und Muster anhand ihres Textdialogs zu identifizieren.
Um diese Bemühungen zu unterstützen, haben wir einen Beispielsatz von 50 Verhandlungsprotokollen aus den Archiven von Marchive analysiert und dabei einige bemerkenswerte Muster und wichtige Erkenntnisse herausgefunden.
Zahlen Sie nicht den Aufkleberpreis
Wir haben uns die anfänglichen Lösegeldforderungen von Hackern angesehen und sie mit dem niedrigsten ausgehandelten Betrag aus 50 Angriffen von acht verschiedenen Hackergruppen verglichen. Dabei wurde eines klar: Leute, die den vollen Lösegeldbetrag zahlten, gaben weit mehr ab, als vielleicht nötig gewesen wäre die Banden besänftigen.
Tatsächlich konnten die Opfer in unserer Auswahl an Transkripten die Hacker im Durchschnitt auf etwas mehr als die Hälfte des ursprünglich geforderten Betrags verhandeln (52,7 %).
Von der Stichprobenauswahl zahlte nur einer den vollen Betrag, ohne zu versuchen, einen Rabatt zu erhalten. Am Ende zahlten zwar nicht alle, aber ein großer Teil zahlte, und bei der Auswahl unserer Verhandlungen verwendeten wir nur die Protokolle, in denen entweder eine Zahlung, ein Verhandlungsversuch oder (wie es oft der Fall war) beides vorkam.
Als Profis spielen
Ein weiteres interessantes Muster bei den Hackergruppen war ihr professioneller und manchmal halbwegs sympathischer Dialog mit ihren Opfern. Ransomware-Hacker geben sich manchmal als Robin-Hood-Typen aus, die Ihre Sicherheitslücken aufdecken und Sie dazu zwingen, sie für den „Dienst“ zu bezahlen, Ihnen mitzuteilen, wie sie in die Ransomware gelangt sind, und natürlich verschlüsselte Daten freizugeben und/oder persönlich identifizierbare Informationen zu löschen.
„Es wurde bestätigt, dass alle Ihre Daten gelöscht wurden. Sie sind also in Sicherheit“, sagte ein Ransomware-Vermittler, nachdem sein Opfer ein Bitcoin-Lösegeld gezahlt hatte, gefolgt von einem Satz, der auf vielen Einkaufstüten zu finden war: „Vielen Dank für Ihr Geschäft.“ Oberflächlich betrachtet könnte dies zu falschen „Ehre unter Dieben“-Reaktionen führen. Aber in Wirklichkeit ist es nur das technische Äquivalent von Mafia-Typen, die zum Laden an der Ecke gehen und um „Schutzgeld“ bitten.
Einige der Opfer führten während der Verhandlungen freundschaftliche Gespräche mit ihren Hackern. „Eine gute Nacht“, schrieb ein Opfer seinen Hackern, nachdem es sich auf einen Lösegeldpreis geeinigt hatte. „Sagen Sie Ihrem Chef, dass Sie eine Auszeit und einen guten Drink verdient haben“, fuhr er fort. Ein anderes Opfer schickte Komplimente und sagte: „Übrigens, die Seite, die ihr gemacht habt, ist wunderschön. Besserer Support als normale Unternehmen :)…“ Es ist schwer zu sagen, ob es sich bei diesen Vorfällen um eine Verhandlungstaktik oder um eine digitale Form des Stockholm-Syndroms handelt.
Ein Beispiel für eine Ransomware-Benachrichtigung und einen Sperrbildschirm (Quelle: Neil Rubenking)
Die Frist ist flexibel
Eine Fristverlängerung ist für Opfer wahrscheinlich die einfachste Möglichkeit, auszuhandeln. Es kostet die Hacker nichts, solange das Opfer bereit zu sein scheint, an den Tisch zu kommen und über die Zahlung nachzudenken. Für Hacker war es daher ein großer Hinweis, wie oft sie vorschlugen, das Lösegeld zu reduzieren, solange die Zahlung schnell erfolgen würde.
Dies diente oft als erste Geste zu Beginn von Verhandlungen – Hacker möchten, dass Transaktionen schnell durchgeführt werden, sind aber bereit, die Frist zu verschieben, wenn sie das Gefühl haben, dass Fortschritte erzielt werden, oder wenn das Opfer damit beschäftigt ist, die Finanzierung sicherzustellen.
Wölfe im Schafspelz
„Bisher sieht es so aus, als ob Ihr Hauptziel darin besteht, mit uns zu ficken“, tippt ein Hacker, der den finanziellen Ausreden und Bitten seines Opfers keinen Glauben schenkt.
Von unseren Redakteuren empfohlen
Unter der Fassade der Höflichkeit brodelt eine Unterströmung verschleierter und expliziter Drohungen. In einem angespannten Austausch fordert ein Hacker ein Opfer heraus und verspottet es: „Willst du mir deine Stahleier zeigen? Wir haben stärkere.“ Dies setzt sich fort, während sie sich über das Gegenangebot des Opfers lustig machen und ein unheilvolles Ultimatum stellen: „Ihr lustiges Angebot interessiert uns nicht, und wenn Sie kein besseres Angebot machen, werden Sie veröffentlicht.“
In einem anderen Austausch, bei dem die Verhandlungen wegen des Gegenangebots eines Opfers in eine Sackgasse gerieten, zeigten sich die Zähne wieder: „Wenn Ihre Führung das Geschäft für 1,2 Dollar zerstören will [million]es ist seine Entscheidung.“ Dann, als Erinnerung daran, wie wenig sie zu verlieren haben: „Wenn wir keine Einigung erzielen, werden wir nur unseren Gewinn schmälern. Und so weiter.“ [the] Andererseits wärst du ruiniert.“
Beschäftige dich nicht mit dem Teufel
Auch wenn dieser anonyme Unternehmensvertreter relativ unbeschadet davongekommen ist, sollten Sie das nicht als Zeichen dafür auffassen, dass es sich lohnt, mit Ransomware-Gruppen zu verhandeln; Eigentlich ganz im Gegenteil. „Wenn mich jemand fragt, was zu tun ist, wenn er mit Ransomware infiziert wird, sage ich immer: Zahlen Sie kein Lösegeld“, sagt Max Eddy, leitender Sicherheitsanalyst bei PCMag.
Während unsere Beispielsammlung von Transkripten nicht zeigt, dass Hacker ihr Versprechen gebrochen haben, die Geiseldaten freizugeben, sobald das Opfer bezahlt hat, müssen Sie bedenken, dass es sich um Kriminelle handelt, und selbst wenn sie die Daten freigeben, gibt es keine Garantie dafür, dass sie gewinnen. Ich mache keine Kopie davon, um sie an andere zu verkaufen. Wie Max erklärt: „Es gibt keinen Anreiz für die Bösen, weiterzumachen. Sie haben das Geld, und für sie ist die Mission erfüllt.“
Das versteht sich wahrscheinlich von selbst, aber eine Möglichkeit, Ransomware-Gruppen in die Schuhe zu schieben, besteht darin, ihnen gar nicht erst zum Opfer zu fallen. Glücklicherweise können einige Best Practices dazu beitragen, Einzelpersonen und Unternehmen davor zu bewahren, Opfer von Hackern zu werden. PCMag empfiehlt zunächst die Implementierung von Passwortrichtlinien, die eindeutige Passwörter mit mindestens 20 Zeichen erfordern. Dies ist eine einfache und wesentliche Richtlinie, die für die Arbeitskonten aller Mitarbeiter und auch für Ihre persönlichen Konten gelten sollte. Zu diesem Zweck empfehlen wir die Verwendung eines zuverlässigen Passwort-Managers, der Sie bei der Erstellung und Verwaltung Ihrer Passwörter für Ihre verschiedenen Konten unterstützt.
Sie sollten außerdem sicherstellen, dass alle Geräte am Arbeitsplatz, wie Smartphones und Tablets, ordnungsgemäß konfiguriert und mit aktivierten Sicherheitsfunktionen ausgestattet sind. Und stellen Sie einfach sicher, dass Sie Ihre Software und Ihr Betriebssystem regelmäßig patchen und aktualisieren und Ihre Daten regelmäßig sichern. Abschließend empfehlen wir Ihnen eine Reihe von Ransomware-Schutz-Apps, die Ihnen dabei helfen, sicher zu bleiben.
(Quelle: Malwarebytes)
Du bist nicht allein
Ransomware-Hacker verwenden Taktiken, um ihre Opfer zu isolieren und sie zu bedrohen, wenn sie um Hilfe bitten. Dadurch wird die Vorstellung aufrechterhalten, dass niemand zu Hilfe kommt und dass die ganze Angelegenheit für das Opfer eine Peinlichkeit darstellt, die hinter verschlossenen Türen gehandhabt werden sollte. Aber das könnte nicht weiter von der Wahrheit entfernt sein. Es gibt viele Möglichkeiten, im Falle eines Angriffs Hilfe zu suchen.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) bietet einen Beamten an Leitfaden zum Stoppen von Ransomware mit vielen hilfreichen Tipps, um nicht Opfer von Hackern zu werden. Es bietet auch kostenloser Schwachstellen-Scan um potenzielle Bedrohungen zu erkennen und zu bekämpfen. Zusätzlich bietet das FBI an Ressourcen in der Prävention und wo du kannst Cyberkriminalität melden und Hilfe bekommen.
Eine letzte Bemerkung: Während sich einige Ransomware-Gruppen angesichts des Krieges in der Ukraine offenbar in einem Zustand des Wandels befinden, a Aktueller Bericht von Malwarebytes zeigt, dass die Angriffe im vergangenen Jahr zugenommen haben, wobei die USA die Hauptlast der weltweiten Angriffe tragen (43 %). Und zunehmend greifen Hacker öffentliche Dienstleistungssektoren wie Krankenhäuser und Schulen an.
Wir können damit rechnen, dass sich kriminelle Taktiken in Zukunft weiterentwickeln – zum Beispiel mit dem Aufkommen von KI-Hackern. Aber was auch immer die Zukunft für Ransomware-Kriminelle bereithält, die beste Strategie ist, ihnen immer einen Schritt voraus zu sein.
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutzrichtlinie. Sie können den Newsletter jederzeit abbestellen.